Inhalt der Seite


Gründe für MFA an der HHU

Sie kennen MFA bereits aus Ihrem Alltag - als ein etabliertes Verfahren, das zum Beispiel beim Online-Banking eingesetzt wird.

Auch die Heinrich-Heine-Universität Düsseldorf (HHU) führt MFA ein, um die Sicherheit der Daten und Systeme zu erhöhen. Es geht über das herkömmliche Passwort hinaus, indem es eine zusätzliche Überprüfungsebene hinzufügt. Dies reduziert das Risiko, dass der Account gehackt wird - selbst wenn das Passwort an Unbefugte gelangt. 

In einem Universitätsumfeld, in dem sensible Forschungsdaten, persönliche Informationen von Studierenden und Mitarbeitenden sowie wichtige Verwaltungssysteme betrieben werden, ist eine solche zusätzliche Sicherheitsebene besonders wichtig. MFA hilft dabei, die Integrität und Vertraulichkeit dieser Daten zu schützen.

MFA funktioniert, indem mindestens zwei verschiedene Methoden (Faktoren) zur Bestätigung der Identität einer Person kombiniert werden. Diese Faktoren gehören typischerweise zu folgenden Kategorien:

  1. Wissen: Etwas, das nur der Nutzer weiß, wie ein Passwort oder PIN-Code.

  2. Besitz: Etwas, das der Nutzer hat, wie ein Smartphone, Hardware-Token (bspw. YubiKey oder Nitrokey), Smartcard oder Sicherheitsschlüssel.

  3. Inhärenz: Etwas, das biologisch zum Nutzer gehört, wie ein Fingerabdruck, Gesichtserkennung oder eine andere Form der biometrischen Verifikation.

Bei der derzeit an der HHU verfügbaren MFA muss der Nutzer zunächst sein Passwort eingeben (erster Faktor - Wissen). Anschließend wird ein zweiter Faktor abgefragt. Das kann beispielsweise ein Code sein, der auf dem Smartphone des Nutzenden generiert wird (zweiter Faktor - Besitz) oder ein Fingerabdruck (zweiter Faktor - Inhärenz), wenn biometrische Methoden verwendet werden.

Das Ziel von MFA ist es, die Sicherheit zu erhöhen, indem es für einen Angreifer deutlich schwieriger wird, gleichzeitig Zugang zu mehreren Authentifizierungsfaktoren zu erlangen. Selbst wenn das Passwort eines Nutzers kompromittiert wird, kann ohne den zweiten Faktor kein Zugriff erfolgen.

Grafik. Veranschaulicht vier Kategorien, der ein Faktor zugeordnet werden kann, nämlich Wissen, Besitz, Inhärenz, also einem bilogischen Merkmal oder Standort.



Fragen und Anregungen

Helpdesk des ZIM

Bild Helpdesk Logo

E-Mail: helpdesk@hhu.de

Tel.:  0211 81-10111

Servicezeiten: 08:00-18:00 Uhr (Mo-Fr)

Status der zentralen IT-Dienste: status.hhu.de

Direkt zum Self-Service

https://mfa.hhu.de/

MFA FAQ

MFA Optionen an der HHU

Empfehlung: Einmal-Passwort zuerst einrichten!

Wir empfehlen Ihnen, zuerst ein kurzzeitig gültiges Einmal-Passwort als zweiten Faktor einzurichten (siehe erste Option unten). Die Einrichtung gelingt vergleichsweise mühelos und dieser zweite Faktor kann geräteübergreifend verwendet werden (Login auf dem PC und auf dem Handy möglich).


Kurzzeitig gültige Einmal-Passwörter

Von einer App – z. B. auf Ihrem Smartphone – werden regelmäßig neue Passwörter erzeugt, die 30 Sekunden lang gültig sind und nur einmal verwendet werden können. So ein Passwort geben Sie beim Anmelden zusätzlich zu Ihrem normalen Passwort ein. 

Bitte installieren Sie zuerst eine dieser Apps und aktivieren Sie danach diesen Schutzmechanismus. 

  • Funktionsweise: Generiert werden zeitbasierte, einmalig gültige Passwörter, die sich alle 30 Sekunden ändern. Erfolgt meist über eine Authenticator-App auf Ihrem Smartphone.
  • Vorteile: Kann für den Login auf verschiedenen Geräten verwendet werden. Einfach einzurichten und zu verwenden; keine besondere Hardware erforderlich.
  • Ideal für: Nutzende, die eine einfache und kostengünstige Lösung bevorzugen und ein Smartphone besitzen.


Passkeys bei Apple und Microsoft

Apple und Microsoft bieten den Schutz mit sogenannten Passkeys (Generalschlüssel) in ihren aktuellen Betriebssystemen an, die bereits alles Notwendige enthalten. Sie brauchen weder zusätzliche Apps noch spezielle Hardware, was diesen Schutzmechanismus besonders attraktiv macht. Beachten Sie bitte: Allerdings funktionieren Passkeys in der Regel nicht geräteübergreifend!

Wenn Sie Passkeys in Betriebssystemen von Apple oder Microsoft für Ihr HHU-Konto aktiviert haben, geben Sie beim Anmelden das Passwort für Ihr HHU-Konto ein und bestätigen Ihre Identität zusätzlich zum Beispiel per Fingerabdruck auf Ihrem Smartphone oder Computer.

Passkeys mit spezieller Hardware (Yubikeys)

Passkeys (Sicherheitsschlüssel) können auch auf spezieller Hardware gespeichert werden, zum Beispiel auf einem speziellen USB-Stick.

Wenn Sie Passkeys mit spezieller Hardware aktiviert haben, geben Sie beim Anmelden das Passwort für Ihr HHU-Konto ein und bestätigen Ihre Identität zum Beispiel durch Einstecken und Aktivieren Ihres speziellen USB-Sticks.

Bitte beschaffen Sie sich erst die Hardware und aktivieren Sie danach diesen Schutzmechanismus.

An der HHU ist die Funktionalität offiziell nur für FIDO2-Hardware-Token der Firma Yubico (sog. Yubikey) sichergestellt. Andere Hardware-Token, die den FIDO2-Standard unterstützen, sollten theoretisch (und erfahrungsgemäß) ebenfalls funktionieren, da FIDO2 ein breit akzeptierter Standard für Hardware-basierte Sicherheitsschlüssel ist. Dazu gehören Geräte wie der Nitrokey und andere FIDO2-kompatible Sicherheitsschlüssel. Es ist jedoch wichtig zu beachten, dass wir die Funktionalität mit anderen Hardware-Tokens als YubiKey nicht garantieren können. Außerdem können wir für diese Geräte keinen Support leisten, falls es zu Problemen oder Kompatibilitätsfragen kommt.

  • Funktionsweise: Ein fortschrittlicherer Sicherheitsstandard, der stark verschlüsselte Anmeldedaten verwendet.
  • Nutzung: Kann entweder mit einem Hardware-Token oder mit integrierten Funktionen der Betriebssysteme von Apple, Google und Microsoft verwendet werden.
  • Vorteile: Bietet eine höhere Sicherheitsebene und ist resistent gegen Phishing-Angriffe.
  • Ideal für: Nutzende, die eine höhere Sicherheitsstufe wünschen und bereit sind, entweder in ein Hardware-Token zu investieren oder die entsprechenden Funktionen ihres Betriebssystems zu nutzen.

Yubikeys der HHU

Die von der HHU beschafften Yubikeys sind Eigentum der HHU und bei Beendigung des Dienstverhältnisses dem Fachvorgesetzten auszuhändigen.

HHU-Dienste mit MFA

Die Nutzung der Multi-Faktor-Authentifizierung (MFA) ist aktuell für die folgenden Dienste des ZIM möglich:

MFA Token einrichten

Mehrere zweite Faktoren einrichten

Richten Sie sich unbedingt mehr als einen zweiten Faktor ein - so stellen Sie sicher, dass Sie auf Ihren Account zugreifen können, auch wenn Sie ein neues Handy brauchen, der Hardware-Token kaputt geht oder Sie Ihr Handy verlieren.

Anleitungen


Anmeldung mit MFA

Die Anmeldung mit MFA an der HHU folgt einem mehrstufigen Prozess, der darauf abzielt, Ihre Identität durch mehrere Sicherheitsebenen zu bestätigen:

  1. Eingabe der Standard-Anmeldeinformationen: Zunächst geben Sie Ihre regulären Anmeldeinformationen ein, i.d.R. Ihren Benutzernamen und Ihr Passwort.
  2. Aufforderung zur MFA: Nach erfolgreicher Eingabe Ihrer Anmeldeinformationen werden Sie aufgefordert, einen zweiten Faktor zu verwenden. Dieser Schritt hängt von der MFA-Methode ab, die Sie eingerichtet haben.
    • Bei kurzzeitig-gültigen Einmalpasswörtern: Öffnen Sie Ihre Authenticator-App, um den aktuellen Code zu erhalten. Geben Sie diesen Code in das dafür vorgesehene Feld auf dem Anmeldebildschirm ein.
    • Bei FIDO2 Passkeys: Wenn Sie einen Hardware-Token verwenden, stecken Sie diesen in den USB-Port Ihres Geräts und betätigen Sie gegebenenfalls eine Taste auf dem Token. Bei eingebauten FIDO2-Funktionen in Geräten kann es sein, dass Sie aufgefordert werden, eine Geste auf einem Touchpad zu machen, einen Fingerabdruck zu verwenden oder ein Gesicht zu scannen.
  3. Zugriff gewährt: Nach erfolgreicher Verifizierung beider Faktoren erhalten Sie Zugang zu Ihrem Konto oder den gewünschten Diensten.

(question) Funktioniert es?

           Falls nicht, kann es an einer fehlerhaften Einrichtung des zweiten Faktors (Tokens) liegen. In diesem Fall wenden Sie sich bitte an den Helpdesk unter helpdesk@hhu.de

(question)Does it work?

If not, it may be due to an incorrect second factor (token) setup.  In this case, please contact the helpdesk at helpdesk@hhu.de